Wie regelmäßige Tech-Leser wissen, war das Jahr 2024 – ähnlich wie die Jahre davor – voller Datenschutzverstöße, Ransomware-Angriffe und Massen-Hacks, die einige der trivialsten Software-Schwachstellen ausnutzten. Selbst den am besten ausgestatteten Organisationen ist es in den letzten zwölf Monaten nicht gelungen, Hacker von ihren Systemen fernzuhalten. AT&T erlebte den zweiten massiven Verstoß des Jahres, von dem dieses Mal „fast alle Kunden“ betroffen waren; Ticketmaster ließ angeblich 560 Millionen Datensätze im Zuge des Hacks des Cloud-Speichergiganten Snowflake stehlen; und der Krankenversicherungsriese Change Healthcare wurde von einer Ransomware-Crew angegriffen, die auf die sensiblen medizinischen Daten von mindestens einem Drittel aller Amerikaner zugegriffen hat.
Ihr Startup muss im Jahr 2025 nicht das gleiche Schicksal erleiden. Einige der einfachsten Sicherheitsmaßnahmen können dabei helfen, böswillige Hacker in Schach zu halten.
Hier sind einige einfache – aber effektive! – Vorsätze zur Cybersicherheit, die Sie zu Beginn des neuen Jahres fassen sollten.
Bewahren Sie Ihre Firmenpasswörter sicher auf
Passwort-Manager speichern alle Passwörter Ihres Unternehmens sicher, sodass sich Ihre Mitarbeiter keine Sorgen machen müssen, dass sie sich diese merken. Passwort-Manager helfen auch dabei, einzigartige und komplexe Passwörter für alle Ihre Konten zu erstellen und zu speichern. Dies kann dazu beitragen, Kontoeinbrüche durch die Wiederverwendung von Passwörtern zu verhindern, bei denen Hacker Personen ausnutzen, die denselben Benutzernamen und dasselbe Passwort für verschiedene Online-Konten verwenden. Sobald ein Passwort kompromittiert ist, können die Hacker mit demselben Passwort auf die anderen Konten der Person zugreifen. Einige Unternehmen verzichten ganz auf Passwörter und verlassen sich auf Passkeys, die gegen Phishing-Angriffe resistent sind, und andere passwortlose Technologien.
Implementieren Sie die Multi-Faktor-Authentifizierung
Passwörter allein reichen nicht aus, um Ihre wichtigsten Konten vor böswilligen Bedrohungen zu schützen. Hacker haben im Jahr 2024 mindestens 1 Milliarde persönliche Daten gestohlen, was vor allem auf die Verwendung gestohlener Anmeldedaten für Unternehmenskonten zurückzuführen ist, die nicht durch die Multifaktor-Authentifizierung geschützt waren.
MFA, eine Sicherheitsfunktion, bei der Benutzer beim Anmelden neben dem Passwort auch einen zusätzlichen Code eingeben müssen, macht es Cyberkriminellen deutlich schwerer, in Online-Konten einzudringen. Im Fall des Cloud-Computing-Riesen Snowflake hätte die Verpflichtung zur Nutzung von MFA zwei Hacker daran hindern können, hochsensible Daten von AT&T und mehr als hundert anderen Unternehmenskunden zu stehlen.
Die meisten Sicherheitsexperten empfehlen die Verwendung von Authentifizierungs-Apps, die Anmeldecodes auf dem Gerät generieren, anstelle von Codes, die per SMS-Textnachricht gesendet werden und in einigen Fällen abgefangen werden können.
Halten Sie Ihre Software auf dem neuesten Stand
Einige der verheerendsten Verstöße des Jahres 2024 wurden durch ein seit Jahren bestehendes Problem verursacht: ungepatchte Schwachstellen in Software von Drittanbietern. Ein großes Hackerziel der letzten Jahre sind Managed-File-Transfer-Tools, die Software, die von großen Unternehmen und Konzernen zum Übertragen oft großer Datendateien über das Internet verwendet wird. Einige Dateiübertragungsprodukte und andere Unternehmenstechnologien gibt es schon seit Jahren (oder länger) und werden wegen ihrer Neigung, Unmengen sensibler Unternehmensdaten zu speichern, ins Visier genommen.
Während einige Fehler als Zero-Day-Fehler ausgenutzt werden – eine Schwachstelle, die ans Licht kommt, bevor ein Patch verfügbar ist –, ist das Beste, was Unternehmen tun können, sicherzustellen, dass Ihre interne Software auf dem neuesten Stand gehalten wird und dass Sicherheitspatches so schnell wie möglich angewendet werden .
Sichern Sie Ihre Unternehmensdaten
Ransomware-Angriffe verzeichneten im Jahr 2024 ein weiteres Rekordjahr, in dem Unternehmen Hackern riesige Geldsummen zahlten, um ihre Daten zurückzubekommen (und zu verhindern, dass sie online preisgegeben werden). Die regelmäßige Sicherung der Daten Ihres Unternehmens ist eine wichtige Verteidigungsmaßnahme gegen Datenverschlüsselung und Datendiebstahl. Auch Backups können von Hackern ins Visier genommen werden, da sie den Opfern dabei helfen können, ihre Geschäftsabläufe ohne nennenswerten Datenverlust effektiv wiederherzustellen. Verschlüsselte Offsite-Backups können bei Sicherheits- oder Datenkatastrophen hilfreich sein.
Hören Sie auf, zum Telefon zu greifen
Während sich Hacker seit Jahren auf E-Mail-Köder mit Schadsoftware als bevorzugte Waffe gegen unverdächtige Opfer verlassen, nutzen einige Hackergruppen betrügerische Telefonanrufe als primäre Methode, um in Unternehmen einzudringen. Berichten zufolge führte ein einziger Anruf beim IT-Helpdesk des Casino- und Hotelgiganten MGM zu einem massiven Verstoß im Jahr 2023, der den Unterhaltungsgiganten mindestens 100 Millionen US-Dollar kostete. Wie Zack Whittaker von Tech hier perfekt schreibt: Seien Sie immer skeptisch gegenüber unerwarteten Anrufen, auch wenn sie von einem scheinbar seriösen Kontakt kommen, und geben Sie niemals vertrauliche Informationen am Telefon weiter, ohne sie zuvor über ein anderes Kommunikationsmittel zu überprüfen.
Seien Sie transparent
Selbst wenn Sie alles richtig machen, gibt es keine Garantie dafür, dass Ihr Startup nicht ins Visier genommen wird. Start-ups sind aufgrund ihrer im Vergleich zu größeren Unternehmen begrenzten Ressourcen ein Hauptziel für Hacker. Wenn Ihr Unternehmen Opfer eines Cyberangriffs wird, kann es im Hinblick auf die Ergebnisse einen echten Unterschied machen, wenn Sie den Vorfall offen ansprechen. Transparenz kann Ihren Kunden helfen, bei Bedarf Maßnahmen zu ergreifen, und der Austausch von Informationen kann anderen dabei helfen, sich in Zukunft gegen ähnliche Angriffe zu verteidigen.
Das Verheimlichen einer Datenpanne kann nicht nur Ihren Ruf schädigen und möglicherweise erhebliche Bußgelder kosten – es könnte Ihnen auch einen Platz in TechCrunchs jährlicher Übersicht über „schlecht gehandhabte Datenschutzverletzungen“ verschaffen.